来自 数据 2022-04-30 00:00 的文章

cdn高防_高防美国服务器_解决方案

cdn高防_高防美国服务器_解决方案

Mirai发布两年后,僵尸网络已经成为脚本儿童的玩物

2016年9月,Twitter、CNN、Spotify和其他许多人被历史上最大规模的DDoS攻击打下线。今天,我们知道它的名字是Mirai,但当时没有人会想到这次攻击来自一群拼凑在一起形成僵尸网络的物联网(IoT)设备。

Mirai是由MalwareMustDie研究人员在2016年8月发现的。虽然这不是第一个被发现的物联网恶意软件,但它肯定是最突出的。

美国东海岸的大部分互联网被摧毁后,当这个自称为安娜·森帕伊的恶意软件创建者发布源代码时,情况变得更糟。从那时起,全世界的黑客都将其作为一个框架来创建自己的僵尸网络变体。最终,ddos攻击防御事件,最初的恶意软件创建者被逮捕并在法庭上认罪,但代码发布的影响大大加快了僵尸网络的创建。新的变体开始出现,添加了新的功能,并利用了不安全物联网设备中的各种漏洞。

现在我们距离Mirai已经两年了,新的变体仍然在造成破坏、破坏和伤害。没有经验的黑客正在对原始的Mirai代码进行微小的调整,部署它,并集结新的僵尸网络军队。在某些情况下,他们甚至将其作为僵尸网络雇佣兵出租。

2018年7月,当Mirai的几个新变种出现时,一个这样的网络罪犯突然出现在现场,引起了安全研究人员的在线讨论。其中一名参与者是一个没有追随者的Twitter账户,他指出研究人员在Mirai变体分类中犯了一个错误。为了证明自己,他发布了与七个Mirai变体源代码的链接。这一挑战促使我们自己下载源代码,以便分类并确定这七种变体与Mirai的区别(扰流板:没有那么大)。

图1.负责代码发布的Twitter手柄

为了说明Mirai变体的区别,让我们快速回顾一下Mirai的工作原理。原始Mirai代码的工作原理如下:

由于大多数Mirai变体是原始Mirai代码的复制品,因此它们具有类似的代码结构。它们有三个主要部分:机器人、C&C服务器和加载器。机器人部分用C编写,C&C模块用Go编写。

为了进行此分析,我们将重点关注Mirai的以下泄漏变体:Akiru、Katrina_V1、Sora、Owari、Saikin、Josho_V3和Tokyo以及它们在机器人目录下的三个模块,例如:

所有解码的密码、字符串和其他信息都可以在本文末尾的补充信息中找到。

Mirai代码是一个框架,就像一个模板,任何人只要找到一种新方法来利用新设备,就可以简单地添加它,从而创建一个"新"变体。僵尸网络中的关键变量是命名以及它尝试的凭据、它针对的体系结构,以及它关闭(杀死)以阻止其他恶意软件在设备中站稳脚跟的端口。为了理解变量之间的差异,您可以将它们相互比较,如下表所示。

图2:此表包含每个变量的更改摘要。

现在让我们仔细看看一些差异。

所有Mirai变量都实现了成功执行检查字符串。变量的大多数检查字符串对应于变量名称。有几个例外,例如,Tokyo变体有一个默认的Mirai检查字符串,Sora变体没有名称,Josho_V3有一个完全不同的名称。

原始Mirai代码使用了62个硬编码密码列表,对易受攻击的物联网设备执行暴力攻击(字典攻击)。该列表被混淆,可以用DEADBEEF密钥进行解码。

通过查看其变体,我们可以看到每个机器人的密码列表都会发生变化。我们检索并解码了每个变体使用的所有密码,以确定密码列表是否从Mirai代码中重复使用,以及是否存在任何重叠。最大的密码列表是在Saikin变体中实现的,有80个密码,高防cdn试用,其中只有4个与原始Mirai代码重叠。通过选择实施不同的密码列表,攻击者针对的是不同的物联网设备。

就像Mirai一样,其所有变体都有一个模块杀手.c,它有多种用途。首先,它清除了当前设备上可能运行的其他恶意软件。其次,它阻止其他人通过Telnet、SSH或HTTP远程访问设备。分析显示,除了标准的Mirai kill端口外,七个变体中有五个(Saikin和Josho_V3除外)在其kill列表中添加了新的协议/设备特定端口。这些端口是:与Netis路由器相关的端口53413,与华为HG532路由器相关的端口37215,来自Realtek SDK的端口52869 UPnP SOAP服务,ddos防御模拟,以及用于CCTV-DVR摄像机的端口81。添加这些端口将允许僵尸网络作者连接到更多设备,同时防止其他人远程连接到这些设备。

我们所研究的所有Mirai变体都针对与Mirai相同的架构,其中只有三种:Sora、Saikin、,Akiru增加了两种新的架构:ARC(Argonaut RISC Core)和RCE(Motorola RCE)。

在对Mirai及其变体进行了一点研究后,我们开始有兴趣了解这些变体背后的人以及共享它们的twitter句柄。